当您运行诸如 之类的命令systemd-analyze security(或诸如 lynis 之类的程序,对于服务,运行systemd-analyze security)时,您可能会像我一样获得“不安全”或“公开”服务的列表。即使在使用 Oscap(例如 CUSP)应用安全配置文件后也会发生这种情况。
我搜索了有关如何改进的信息,并找到了例如以下资源:
- https://www.redhat.com/sysadmin/systemd-secure-services
- https://www.redhat.com/sysadmin/mastering-systemd
- https://www.ctrl.blog/entry/systemd-service-hardening.html
- https://www.linuxjournal.com/content/systemd-service-strengthening
基本上,为了保护服务,看起来您确实需要足够了解服务,并且在第一个链接中指出“以任何类型的自动方式添加安全措施都是不可能的。”
这是否意味着没有自动化工具,甚至可能部署一组基本参数,这可能是向前迈出的第一步?这些文章是在 2020-21 年写的,希望能有所收获:)。
非常感谢!
答案1
我不知道任何工具,也无法真正确定地回答这个问题。但我可以猜测一下这是什么意思“以任何自动方式添加安全措施都是不可能的。”。例如,如果您查看类似输出的内容
systemd-analyze security sshd
您会发现列出的 80 个功能中有 71 个被视为不安全。
假设有人已经完成了所有这些并确定了它们的可行性,将它们放入数据库中并让您(通过工具)访问这些数据库以实现自动化目的 - 您如何在不进行测试的情况下确定他们的断言适合您的需求如果事情坏了?
对于上述服务我会希望您的发行版的维护者足够了解该服务,并且只提供了被广泛认为安全的功能。